Qui est concerné par le RGPD ?
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.

En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non

Le RGPD concerne donc, aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Qu'est-ce qu'une donnée personnelle ?

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ».

Une personne peut être identifiée :

Directement (exemple : nom, prénom) ou indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée :

à partir d’une seule donnée (exemple : numéro de sécurité sociale, ADN)  
à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association)

Exemple : une base marketing contenant de nombreuses informations précises sur la localisation, l’âge, les goûts et les comportements d’achats de consommateurs, y-compris si leur nom n’est pas stocké, est considérée comme un traitement de données personnelles, dès lors qu’il est possible de remonter à une personne physique déterminée en se basant sur ces informations.

Qu’est-ce qu’un traitement de données personnelles ?
Un « traitement de données personnelles » est une opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement). 

Exemple : tenue d’un fichier de ses clients, collecte de coordonnées de prospects via un questionnaire, mise à jour d’un fichier de fournisseurs, etc.

En revanche, un fichier ne contenant que des coordonnées d’entreprises (par exemple, entreprise « Compagnie A » avec son adresse postale, le numéro de téléphone de son standard et un email de contact générique « compagnieA@email.fr ») n’est pas un traitement de données personnelles.

Un traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.

RGPD : Par où commencer ?

4 actions principales à mener pour entamer et maintenir sa mise en conformité avec les règles de protection des données.

Qui doit tenir le registre ?
Le registre doit être tenu par les responsables de traitement ou les sous-traitants eux-mêmes. Ils peuvent ainsi disposer d’une vue d’ensemble de toutes les activités de traitement de données à caractère personnel qu’ils effectuent.

Une personne au sein de l’organisme peut être spécifiquement chargée de la tenue du registre. Dans le cas où l’organisme a désigné un délégué à la protection des données (DPD), interne ou externe, celui-ci peut être chargé de la tenue du registre. Le registre pourra ainsi constituer l’un des outils permettant au délégué à la protection des données (DPO) d’exercer ses missions de contrôle du respect du RGPD ainsi que d’information et de conseil du responsable du traitement ou du sous-traitant.

Dans ce cadre un peu rébarbatif mais essentiel pour être en conformité avec la législation, votre secrétaire peut être LA personne sur qui vous pouvez vous appuyer pour rédiger ce registre.

La CNIL est l’organisme de compétence pour vous donner les clés et vous accompagner.
Elle propose par ailleurs un modèle de registre à compléter pour se mettre en conformité avec la loi.

Source : CNIL - https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on